구독해서 새 게시물에 대한 알림을 받으세요.

캡차가 없는 Cloudflare, 모두에게 무료로 제공되는 Turnstile

2023-09-29

5분 읽기
이 게시물은 English, 繁體中文, 日本語简体中文로도 이용할 수 있습니다.

여러 해 동안 우리는 캡차가 우리를 짜증나게 만든다는 글을 써왔습니다. 사람들이 캡차 퍼즐을 풀다가 포기하는 비율이 약 15%에 달하며, 놀랍게도 봇은 인간보다 훨씬 쉽게 캡차를 풀 수 있습니다. 우리는 지난 3년 반 동안 봇을 막는 데 효과적인 더 나은 사용자 환경을 구축하기 위해 노력해왔습니다. 이번 달을 기점으로 Cloudflare에서 발급하는 모든 캡차를 새로운 캡차 대체 솔루션인 Turnstile(아래 그림)로 교체하는 작업을 완료했습니다. Cloudflare에서는 어떤 이유로든 누구에게도 시각적 퍼즐을 다시 발급하지 않겠습니다.

이제 Cloudflare에서 캡차를 제거했으므로 다른 Cloudflare 서비스를 사용하지 않더라도 누구나 쉽게 동일한 작업을 수행할 수 있도록 하고자 합니다. 모든 플랫폼의 모든 웹 사이트 운영자가 코드 몇 줄만 추가하면 Turnstile을 사용할 수 있도록 플랫폼에서 분리했습니다. 이제 Turnstile을 정식 출시하게 되어 기쁘게 생각하며, 이제 누구나 Turnstile의 '관리형' 모드를 무제한으로 사용할 수 있도록 완전히 무료로 제공하게 되었습니다.

인간에게는 쉽고, 봇에게는 어려우며, 모두를 위한 개인정보 보호

Turnstile의 체크박스는 간단하지만, 많은 노력을 기울여 누구나 쉽게 사용할 수 있고, 사용자의 개인정보를 보호하며, 을 차단하는 기능을 수행하도록 했습니다. 모두를 위해 더 나은 인증 질문을 마련한다는 것은 어떤 브라우저를 사용하든 모두가 똑같이 훌륭한 경험을 할 수 있다는 것을 의미합니다. 우리는 시각적 퍼즐을 사용하지 않으므로 시력이 좋지 않거나 시각 장애가 있는 사용자도 다른 모든 사용자와 똑같이 쉽게 인증 질문 플로우를 이용할 수 있습니다.

모든 사람이 이용할 수 있는 경험을 제공하기 위해 오디오 캡차로 다시 돌아가지 않는 것이 특히 중요했습니다. 오디오 캡차는 사람이 풀기에는 시각적 캡차보다 훨씬 더 어려운 경우가 많으며, 오디오 인증 질문 중 31. 2%만이 세 사람이 모두 정답에 동의하는 결과를 낳습니다. 무료 음성-텍스트 변환 서비스의 보급으로 봇도 오디오 캡차 문제를 쉽게 해결할 수 있게 되었으며, 최근 연구에 따르면 봇은 85% 이상의 시도에서 오디오 캡차를 정확하게 해결할 수 있는 것으로 나타났습니다. 우리는 Turnstile이 시각적 캡차뿐만 아니라 오디오 캡차도 필요 없는 WCAG 2.1 레벨 AA를 준수하고 있음을 자랑스럽게 생각합니다.

우리는 또한 개인정보 보호에 중점을 두고 Turnstile을 개발했습니다. Turnstile은 전자 개인정보 보호 지침, GDPR, CCPA 규제 준수 요건은 물론 자체 개인정보 보호 약속의 엄격한 요건을 충족합니다. 또한, Cloudflare의FedRAMP Moderate 인증 패키지("정부용 Cloudflare")에는 이제 Turnstile이 포함됩니다. 사용자가 인간인지 로봇인지 판단하기 위해 사용자가 방문한 다른 웹 사이트와 같은 사용자 데이터 추적에 의존하지 않습니다. 당사의 비즈니스는 광고를 판매하는 것이 아니라 웹 사이트를 보호하는 것이므로 운영자는 자체 사용자 데이터가 안전하다는 것을 알고 Turnstile을 배포할 수 있습니다.

우리가 Turnstile 인증 질문을 통과하는 것이 얼마나 쉬운지 강조했으니, 봇을 어떻게 막을 수 있는지 물어보고 싶을 것입니다. 봇이 흐릿한 사진에서 횡단보도가 있는 모든 이미지를 우리보다 더 빨리 찾을 수 있다면 봇은 당연히 확인란도 체크할 수 있을 것입니다. 봇은 분명히 확인란을 체크할 수 있으며, 심지어 확인란에 체크하는 중에 사람이 마우스를 움직이는 불규칙한 경로를 모방할 수도 있습니다. Turnstile의 경우 실제 확인란에 체크하는 행위가 중요한 것이 아니라 확인란을 체크하는 동안 분석하는 백그라운드 데이터가 중요합니다. 우리는 일련의 브라우저 내 테스트를 실행하고, 브라우저 특성, 기본 브라우저 API를 확인하며, 브라우저에 경량 테스트(예: 작업 증명 테스트, 공간 증명 테스트)를 통과하도록 요청하여 실제 브라우저임을 증명함으로써 봇을 찾아내고 차단합니다. 현재 배포된 Turnstile에서는 매일 수십억 명의 방문자를 검사하고 있으며, 우리는 봇이 이러한 테스트를 통과하려고 시도하는 동안 나타나는 브라우저 이상 징후를 식별할 수 있습니다.

1년 넘게 관리형 인증 질문을 사용하여 캡차와 자체적으로 개발한 Turnstile 인증 질문을 번갈아 사용하며 그 효과를 비교했습니다. 그 결과, 사용자에게 상호작용을 전혀 요청하지 않았는데도 Turnstile 이 캡차만큼 효과적이라는 사실을 발견했습니다. 우리는 봇 제작자의 반응에 효과적으로 대처할 수 있다는 결과를 확인한 후, 캡차 인증 질문을 자체 확인란 솔루션으로 대체했습니다. 잠재적으로 의심스러운 신호를 발견하면 이 추가 테스트를 통해 보안을 한층 더 강화할 수 있습니다.

Turnstile은 사기를 방지하는 데 유용합니다

무료로 서비스를 제공하는 모든 사이트와 마찬가지로 Cloudflare에서는 악의적인 사용자가 플랫폼을 악용하기 위해 다양한 계정을 자동으로 생성하는 '신규 계정 사기'를 포함한 자동 계정 가입이 상당히 많이 관찰되고 있습니다. 이러한 악용을 방지하기 위해 Cloudflare에서는 자체 가입 페이지를 보호하기 위해 Turnstile의 비가시 모드를 출시했습니다. 이번 달에는 1백만 건이 넘는 자동 가입 시도를 긍정 오류로 보고된 사례나 이 가입 흐름에 의존하는 셀프서비스 청구의 변경 없이 Turnstile을 이용하여 차단했습니다.

Turnstile 베타에서 얻은 교훈

지난 12개월 동안 정말 많은 분들이 Turnstile을 사용해보고, 신뢰하며, 웹 앱에 통합하고자 하는 열의를 보여준 것을 알게 되어 감사했습니다. 개발자 커뮤니티에서도 Turnstile을 수용하는 것을 보면서 보람을 느꼈습니다. 여기에 커뮤니티에서 만든 연동 기능 중 일부를 나열합니다. 그 기능에는 WordPress, Angular, Vue, Cloudflare 권장 React 라이브러리와의 통합이 포함되어 있습니다. 우리는 고객의 피드백에 귀를 기울여 17개의 새로운 언어, 새로운 콜백, 새로운 오류 코드에 대한 지원을 추가했습니다.

76,000여 명의 사용자가 가입했지만, 가장 큰 단일 테스트는 유로비전 결선 투표였습니다. Turnstile은 2,500만여 개의 Cloudflare 웹 사이트 인증 질문 페이지에서 실행됩니다. 보통은 그에 따라 유로비전 최종 투표가 끝날 때까지 Cloudflare가 가장 큰 Turnstile 고객이 됩니다. 그 한 시간 동안 유로비전 투표 사이트의 인증 질문 트래픽이 2,500만 개 사이트의 인증 질문 페이지 사용량을 모두 합친 것보다 더 많았습니다! Turnstile은 엄청난 트래픽 폭증을 문제없이 처리했습니다.

Turnstile 베타 기간 동안 많은 일이 잘 진행되었지만, 교훈을 얻을 수 있는 기회도 있었습니다. 처음에는 Turnstile 인증 질문이 실패한 이유를 공개하는 것에 대해 거부감이 있었습니다. 결국, 악의적인 행위자가 우리가 찾고 있는 것이 무엇인지 알고 있다면 새로운 감지 기능을 채택할 때까지 봇이 우리의 인증 질문을 더 쉽게 속일 수 있습니다. 하지만 Turnstile 베타 테스트 기간 동안 정상적인 사용자가 인증 질문을 통과하지 못하는 몇 가지 시나리오를 확인했습니다. 이러한 시나리오를 통해 우리는 Turnstile에 걸리게 하는 방식으로 브라우저를 수정할 수 있는 개인을 인증 질문으로 지원하지 못한 이유를 투명하게 공개해야 한다는 사실을 분명히 알게 되었습니다. 이제 인증 질문이 실패한 이유를 알 수 있도록 자세한 클라이언트 측 오류 코드를 게시합니다. 예상하지 못했던 두 가지 시나리오가 여러 차례 등장했습니다.

첫째, 10년 이상 된 데스크톱 컴퓨터는 마더보드 배터리가 만료된 경우가 많았고, 마더보드 배터리가 불량인 컴퓨터는 시간이 매우 부정확하게 유지되는 것으로 나타났습니다. 마더보드 배터리가 없으면 컴퓨터가 꺼져 있을 때 데스크톱 컴퓨터의 시계가 작동을 멈추기 때문입니다. 웹 사이트 운영자가 실수로 인증 질문 페이지를 캐시하도록 구성한 경우 인증 질문 페이지를 캐싱하면 통과할 수 없게 되므로 Turnstile은 컴퓨터의 시스템 시간을 확인하여 이를 감지합니다. 안타깝게도 이 같은 검사는 시간을 업데이트하기만 하면 되는 사람을 의도치 않게 지목했습니다. 이 문제가 발견되면 이제는 최종 사용자에게 시스템 시간을 업데이트하라는 명확한 오류 메시지가 표시됩니다. 처음부터 오류가 나타나지 않기를 바라기 때문에 우리는 실제 사용자에게 영향을 미치지 않는 캐시된 콘텐츠를 확인하는 새로운 방법을 개발하기 위해 노력하고 있습니다.

둘째, 개인정보 보호를 중시하는 일부 사용자는 익명성을 유지하기 위해 브라우저에 표준 관행 이상의 조치를 취해달라고 요청하는 경우가 많습니다. 여기에는 사용자 에이전트 변경(봇이 감지를 회피하기 위해 수행하는 작업)과 타사 스크립트가 완전히 실행되지 않도록 하는 것이 포함됩니다. 이제는 이 동작으로 인해 발생하는 문제가 Turnstile 위젯에 명확하게 표시되므로 사용자가 문제를 즉시 이해하고 브라우저의 인증 질문 통과 허용 여부를 신중하게 선택할 수 있습니다.

Cloudflare에서는 가장 민감하고 철저하게 구축된 모니터링 시스템을 갖추고 있지만, 자체적으로 이러한 문제를 방어하지는 못했습니다. 문제가 무엇인지 파악하려면 문제의 영향을 받은 사용자와 대화해야 했습니다. 앞으로는 이러한 직접적인 소통 창구를 항상 열어두고자 합니다. 향후 코너 사례를 신속하고 긴급하게 처리할 수 있도록 Turnstile 위젯에 새로운 피드백 양식을 도입할 예정입니다.

Turnstile: 일반 제공 및 무료

Turnstile의 일반 제공을 발표한다는 것은 이제 Turnstile이 완전히 프로덕션 준비가 완료되어 관리형 모드에서 표시 위젯을 통해 무제한으로 무료로 사용할 수 있음을 의미합니다. Turnstile Enterprise에는 SaaS 플랫폼 지원과 Cloudflare 로고가 없는 가시 모드가 포함되어 있습니다. 셀프 서비스 고객은 2024년 초에 고급 기능에 대한 종량제 옵션을 사용할 수 있을 것으로 예상할 수 있습니다. 사용자는 베타 기간 동안과 마찬가지로 1백만 사이트 확인 요청 제한 아래에서 Turnstile의 고급 기능에 계속 액세스할 수 있습니다. Turnstile을 사용해보고 싶으셨다면 지금 바로가입 페이지로 이동하여 계정을 만드세요!

Cloudflare에서는 전체 기업 네트워크를 보호하고, 고객이 인터넷 규모의 애플리케이션을 효과적으로 구축하도록 지원하며, 웹 사이트와 인터넷 애플리케이션을 가속화하고, DDoS 공격을 막으며, 해커를 막고, Zero Trust로 향하는 고객의 여정을 지원합니다.

어떤 장치로든 1.1.1.1에 방문해 인터넷을 더 빠르고 안전하게 만들어 주는 Cloudflare의 무료 앱을 사용해 보세요.

더 나은 인터넷을 만들기 위한 Cloudflare의 사명을 자세히 알아보려면 여기에서 시작하세요. 새로운 커리어 경로를 찾고 있다면 채용 공고를 확인해 보세요.
Birthday Week (KO)제품 뉴스TurnstileCAPTCHA속도 및 신뢰성보안Bots (KO)

X에서 팔로우하기

Benedikt Wolters|@worengawins
Maxime Guerreiro|@punkeel
Adam Martinetti|@adamemcf
Cloudflare|@cloudflare

관련 게시물

2024년 10월 06일 오후 11:00

Enhance your website's security with Cloudflare’s free security.txt generator

Introducing Cloudflare’s free security.txt generator, empowering all users to easily create and manage their security.txt files. This feature enhances vulnerability disclosure processes, aligns with industry standards, and is integrated into the dashboard for seamless access. Strengthen your website's security today!...

2024년 10월 02일 오후 1:00

How Cloudflare auto-mitigated world record 3.8 Tbps DDoS attack

Over the past couple of weeks, Cloudflare's DDoS protection systems have automatically and successfully mitigated multiple hyper-volumetric L3/4 DDoS attacks exceeding 3 billion packets per second (Bpps). Our systems also automatically mitigated multiple attacks exceeding 3 terabits per second (Tbps), with the largest ones exceeding 3.65 Tbps. The scale of these attacks is unprecedented....